Tarkasteltaessa suostumukseen perustuvaa käsittelyperustetta viranomaisten toimesta, on aluksi syytä selkeyttää viranomaisen tiedon hallinnan sekä henkilötietojen käsittelyn sääntelyn oikeusperusta. Suhteessa yksityiseen toimijaan, rekisterinpitäjänä viranomaisella on laista johdettuja velvoitteita sekä oikeuksia. Suostumusta, jonka yksilö on antanut rekisterinpitäjälle liittyen hänen henkilötietojen käsittelyyn, ei aina voida soveltaa yhdenmukaisesti viranomaisen ollessa rekisterinpitäjänä. Viranomaisen tietohallinnon järjestämistä ohjaa useat yleisnormit. Näitä ovat muun muassa viranomaisten toiminnan julkisuudesta annettu laki (621/1999), arkistolaki (831/1994), sähköisestä asioinnista viranomaistoiminnassa annettu laki (13/2003) sekä laki julkisen hallinnon tietohallinnon ohjauksesta (634/2011).134
Julkisen sektorin tietojen käyttöä taas ohjaavat perustuslaki (732/1999), erityislainsäädännöt sekä kansainväliset velvoitteet, kuten direktiivit ja kansainväliset sopimukset. Lukuisiin kansainvälisiin sopimuksiin sisältyy salassapitovelvoitteita tai sopimuksen nojalla luovutettavien tietojen käyttötarkoitussidonnaisuuden määrittelyä ennalta määriteltyihin tarkoituksiin. Esimerkkinä tällaisista sopimuksista voidaan mainita turvallisuusluokiteltuja tietoja sisältävät tietojen vaihdot eri maiden välillä.135 Sekä perustuslaki että Suomea sitovat kansainväliset sopimukset ja säädökset rajoittavat lainsäätäjän mahdollisuutta säätää tietojen luovuttamisesta kaupallisiin tarkoituksiin viranomaisen rekisteristä.
Tietojen julkisuutta ja niiden luovuttamista viranomaisrekisteristä säätelee yleislakina laki viranomaisten toiminnan julkisuudesta (621/1999).136 Julkisuuslain soveltamiseen liittyy julkisuusperiaate, jonka mukaan viranomaisten asiakirjat ovat julkisia, jollei laissa erikseen säädetä. Asiakirjajulkisuutta ei tulisi tulkita liian suppeasti, sillä julkisuusperiaate kohdistuu viranomaisella olevaan tietoon riippumatta sen tallennustavasta. Asiakirjajulkisuus on osa
134 Voutilainen 2009, s. 11. Laki julkisen tiedonhallinnan ohjauksesta tullaan kumoamaan valmisteilla olevalla uudella tiedonhallinnan lainsäädännöllä.
135 Valtiovarainministeriön julkaisuja 2/2012, s. 29.
136 Henkilötietojen käsittelyä säätelee tietosuoja-asetus sekä sitä tukeva lainsäädännöt. Julkisuuslaki sen sijaan säätelee tiedon luovuttamista viranomaisten rekisteristä. Julkisuuslakia ollaan myös osaltaan valmisteilla olevan tiedonhallinnan lainsäädännön yhteydessä muuttamassa, mutta tutkielman kirjoittamisen vaiheessa ei muutoksista ole vielä tietoa.
laajempaa, koko viranomaistoimintaa ohjaavaa periaatetta. Periaatteen mukaan jokaisella on oikeus saada tieto viranomaisten toiminnasta ja julkisesta vallankäytöstä sekä osallistua ja vaikuttaa viranomaisten käsiteltävänä oleviin asioihin.
Suomessa julkisuusperiaatteen juuret ulottuvat aina vuoteen 1766, jolloin Ruotsin valtiopäivillä hyväksyttiin painovapausasetus, joka edellytti yleistä tiedon saatavuutta asiakirjoista.137 Vuonna 1951 säädettiin laki yleisten asiakirjain julkisuudesta (83/1951) ja vuonna 1995 säädettiin perusoikeusuudistuksen myötä asiakirjajulkisuus osaksi perustuslain perusoikeuksia. Vuonna 1999 tuli voimaan nykyinen julkisuuslaki, jota säädetään viranomaisten julkisuuskäytäntöihin.138 Koska viranomaisilla on yleinen velvollisuus edistää perusoikeuksien toteuttamista, viranomaisilla on myös velvollisuus julkisuuden toteuttamiseen. Myös Salokannel näkee julkisen tiedon saatavuuden osana perusoikeutta.
Hänen mukaansa ”perusoikeudellisesta näkökulmasta voidaan katsoa, että kansalaisten sananvapauden täysimääräinen toteuttaminen edellyttää, että heillä on mahdollisuus myös saada käyttöönsä julkisin varoin tuotettu tieto, jotta yhteiskunnan panos julkiseen tietoon tulisi myös kokonaistaloudelliselta kannalta yhteiskunnan hyödyksi”.139
Julkisella sektorilla on merkittävä rooli tiedon tuottajana ja ylläpitäjänä. Viranomaisten rekistereissä on valtavasti yhteiskunnallisesti merkittäviä tietovarantoja ja näillä tiedoilla on myös todellista taloudellista arvoa. Suurin osa näistä tietovarannoista on vain niiden käytössä, joilla on pääsy aineistoihin.140 Julkinen sektori hallinnoi tuottamiaan henkilötietoja ja myös luovuttaa niitä edelleen lain määrittelemissä rajoissa, joten julkisen sektorin tietoja hyödynnetään laajasti myös yksityisellä sektorilla. Yksityisellä sektorilla julkisen sektorin tietoja käytetään yritysten asiakastietojen ylläpidossa, markkinoinnissa, profiloinnissa, suunnittelussa sekä muissa vastaavissa yritykselle lisäarvoa tuovissa toimissa.141 Monet tietopalveluyritykset taas myyvät julkisen sektorin tietoja edelleen omien palvelujen osana tai jatkojalostettuna.142 Alla olevassa taulukossa on yhteenveto julkisen sektorin
137 Mäenpää 2008, s. 1-5.
138 Jaatinen 2014, s. 23.
139 Salokannel 2012, s. 2.
140 Poikola – Kela – Hintikka 2010, s.11.
141 Julkishallinnon tietojen luovutusten periaatteet ja käytännöt 2/2012, s. 29.
142 Esimerkkinä julkisen sektorin tietojen uudelleen käytölle yksityisen sektorin toimesta on Datscha Oy, joka on yrityksille tarkoitettu tietopalvelu- ja analysointityökalu, jota käytettään kiinteistömarkkinoilla. Datscha ostaa tietoja muun muassa eri julkisen sektorin toimijoilta, yhdistää tiedot käytettävään ja luettavaan muotoon, joka taas mahdollistaa tietojen hyödyntämisen eri tavalla. Datschan asiakkaat voivat ostaa tietoa, jota ilman yhdistelyä olisi mahdotonta saada.
hallinnoimista tietotyypeistä, niiden sisällöstä sekä rekisterinpitäjistä. Taulukosta on nähtävissä viranomaisten ylläpitämien henkilötietojen laajuus.
143
Viranomaisen toiminta sähköisissä palveluissa on sähköistä hallintoa, jolla tarkoitetaan informaatio- ja viestintäteknologian käyttöä julkisessa hallinnossa. Sähköisen hallinnon rakenneosiksi kutsutaan sähköisiä asiointipalveluita, asianhallintajärjestelmiä, viranomaisten operatiivisia järjestelmiä ja niiden taustajärjestelmiä sekä tietoverkkoa.144 Sähköinen hallinto voidaan toisaalta myös ymmärtää laajana kokonaisuutena, johon kuuluu yksilöiden osallistumismahdollisuuksien parantaminen informaatio- ja viestintäteknologian keinoin145 Euroopan komissio on määritellyt sähköisen hallinnon seuraavasti:
Sähköisellä hallinnolla tarkoitetaan tässä tieto- ja viestintätekniikan käyttöä julkisessa hallinnossa yhdistettynä organisaatiomuutoksiin ja uusiin taitoihin siten, että voidaan parantaa julkisia palveluja ja demokraattisia prosesseja ja vahvistaa julkisen politiikan tukea.146
143 Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisusarja 61/2017, s. 14.
144 Voutilainen 2009, s. 40.
145 Voutilainen 2009, s. 41. Kansalaisen mahdollisuutta vaikuttaa sähköiseen hallintoon voidaan kutsua eDemokratiaksi.
146 Komission tiedonanto neuvostolle, Euroopan parlamentille, Euroopan talouskomitealle sekä alueiden komitealle: sähköisen hallinnon merkitys huomisen Euroopassa, KOM (2003) 567, s. 8.
Sähköinen hallinto mahdollistaa aikaisempaa monipuolisemman yhteydenpidon, lisää ihmisläheisyyttä ja läpinäkyvyyttä sekä mahdollistaa hallintorakenteiden väljentämisen.147 Julkisella sektorilla on merkittävä rooli tiedontuottajana, sillä se tuottaa tietotuotteita ja palveluiden raaka-aineita sekä rakentaa yleisiä toimintaedellytyksiä. Digiteknologia on mahdollistanut julkisen sektorin tuottaman tiedon laajamittaisen saatavuuden ja tiedon käyttömahdollisuudet ovat moninkertaistuneet. Suomessa julkisen sektorin tietovarannot ovat kattavat sekä korkeatasoiset ja niissä on paljon hyödyntämispotentiaalia.148 Suomessa julkisen sektorin tuottaman tiedon saatavuutta rajoittavat laaja tietoaineistojen tekijänoikeussuoja sekä tietoaineistojen korkea hinnoittelu. Tämä taas aiheuttaa oikeudellista epävarmuutta ja epäselvyyttä käyttöoikeuksista.149
Kuronen ryhmittelee julkisin varoin ylläpidettyjen tietovarantojen käyttötarpeet kolmeen osaan: valtion tarpeet, markkinoiden tarpeet ja kansalaisten tarpeet.150 Lähtökohtaisesti julkishallinnon tarpeet ovat aina olleet etusijalla ja niitä on kerätty julkishallinnon omaa käyttöä varten. Markkinoiden käyttötarpeet julkisin varoin ylläpidettyihin tietovarantoihin taas ovat julkiselle sektorille tärkeää liiketoimintaa ja julkinen sektori ylläpitääkin paljon tietovarantoja markkinoiden käyttöön.151 Kansalaisten ja kansalaisyhteiskunnan omien, aitojen tarpeiden tunnistaminen on ollut haastavaa suhteessa valtion ja markkinoiden tarpeisiin. Kuitenkin oikeus tietoon on tietoyhteiskunnan jokaisen jäsenen oikeus ja sitä tulisi edelleen korostaa tarkasteltaessa tietovarantojen hyödyntäjiä sekä kansalaisten omia tarpeita.152
4.2 Viranomaisen toimintaa ohjaavaan lainsäädännön ja suostumuksen suhde
Viranomaisen rooli suostumukseen perustuvassa henkilötiedon käsittelyssä on hyvin erilainen kuin yksityisen sektorin toimijan. Pääsääntöisesti yksilö rekisteröitynä hallinnon
147 Kulla 2011, s. 328.
148 Koski-Kiuru-Mäkelä-Salokannel 2012, s.3.
149 Salokannel 2012, s. 2.
150 Kuronen 1998, s. 30. Kuronen kuitenkin edelleen huomauttaa, että kyseinen kolmeen ryhmään jakaminen on hyvin karkea, ja sitä voidaan tarvittaessa tihentää.
151 Valtiovarainministeriön 11.2.2010 asettaman Julkishallinnon tietovarantojen saatavuuden ja käytön edistäminen -työryhmän raportissa ilmeni, että julkinen sektori luovuttaa maksua vastaan tietoja myös muille julkisyhteisöille. Vuonna 2009 julkisyhteisöille tehdyistä tietoluovutuksista kertyi vuonna 2009 yhteensä noin 11 miljoonan euron tulot. Raportin jälkeen viranomaisten välisistä tietojenluovutusmaksuista on pääosin luovuttu. Kuitenkin omakustannusarvo peritään yleensä valtion maksuperustelain (Valtiovarainministeriön asetus 1396/2016) perusteella myös julkiselta sektorilta. Ks. lisää viranomaisten välisistä tietojenluovutuksista Tiedonhallinnan lainsäädännön kehittämislinjaukset -työryhmän raportista, alkaen sivulta 155.
152 Kuronen 1998, s. 30-32.
asiakkaana on heikommassa asemassa suhteessa viranomaiseen, sillä viranomaisen toiminta perustuu lähtökohtaisesti lakiin, eikä rekisteröidyn suostumusta tarvitse erikseen pyytää.153 Mikäli viranomaisella ei ole lakiin perustuvaa oikeutta käsitellä asiakkaan henkilötietoja, on viranomaisen pyydettävä suostumus rekisteröidyltä itseltään.154 Hallintosopimusten ulkopuolelle jäävät suhteellisen usein tilanteet, joissa hallinnollisen toimenpiteen kohteena suostumus on päätöksen tekemisen tai toimen suorittamisen välttämätön edellytys.155 Tyyppiesimerkkinä kaksipuolisista hallintotoimista voidaan pitää virkanimitystä, joka edellyttää hallintotoimen täyttämiseen suostumusta virkamiehen osalta.156 Henkilötietojen käsittelyn osalta julkisuuslaki mahdollistaa tietyiltä osin henkilötietojen luovuttamisen tai käsittelyn rekisteröidyn suostumuksen nojalla. Suostumusta edellyttävien hallintopäätösten tekemiseen voi liittyä samanlaisia piirteitä kuin sopimuksiin,157 vaikka suostumuksen antaja ei voisikaan asettaa ehtoja suostumuksen edellytykseksi. 158
Tietosuoja-asetus lähtee samasta periaatteesta, eli viranomaisen ja rekisteröidyn suhteen välillä on selkeä epäsuhta. Suostumuksen ei voida katsoa olevan vapaaehtoisesti annettu, mikäli rekisterinpitäjänä on viranomainen ja sen vuoksi epätodennäköistä, että suostumus olisi annettu rekisteröidyn omasta vapaasta tahdosta.159 Tilke-raportissa on katsottu, että viranomaisten välillä tieto tulisi liikkua sujuvasti siten, että tietoa kysytään tiedonkeruun kohteelta vain kerran ja sen jälkeen olisi niiden käytössä, jotka tarvitsevat sitä lakisääteisen tehtävän hoitamiseen. Edelleen raportissa korostetaan sitä, että ” lakisääteisen tehtävän hoitamista varten toiselta viranomaiselta tarvittavat muut kuin salassa pidettävät henkilötiedot on saatava tehtävän hoitamisen kannalta tarvittavilta osin yleislakiin perustuen ilman erityislainsäädännössä olevia tiedonsaanti- tai tiedon luovutusoikeutta koskevia säännöksiä”.160 Tuleva tiedonhallinnan lainsäädäntö tulee säätelemään julkishallinnon yhtenäisempää tiedonhallintaa. Lain avulla tietoaineistojen muodostamisessa sekä niiden käsittelyssä vahvistettaisiin kokonaisprosessiajattelua viranomaisten välillä. Tällöin
153 Voutilainen 2009, s. 131.
154 Voutilainen 2009, s. 132.
155 Mäenpää 1989a, s. 98.
156 Valtion virkamieslaki (1994/750) säätelee suostumuksen edellytyksestä virkaan liittyvien toimien täyttämiseksi. Esimerkkinä lain 6 d §:n mukaan virkaan voidaan nimittää henkilö, joka on antanut nimittämiseen suostumuksensa. Myös 2016 vuonna lakimuutoksen myötä muutettu lain 20 § säätää virkamiehen siirtoa osin tai kokonaan toiseen virastoon työskentelemään. Siirron edellytyksenä on sekä vastaanottavan viraston että virkamiehen suostumus.
157 Vilkkonen 1970, s. 57 huomauttaa, miten suostumuksen ja sopimuksen välillä on käytännössä vain hienoinen aste-ero.
158 Mäenpää 1989, s.99.
159 Tietosuoja-asetus, 43 johtolause.
160 Valtiovarainministeriön julkaisu – 37/2017, s. 23.
tiedonhallinnan vastuu muuttuisi aikaisemmasta siten, että siirryttäessä julkishallinnon prosessissa vaiheesta toiseen, olisi samassa prosessissa jo aiemmin kerätyt tiedot hyödynnettävissä rajapintojen avulla.161 Lähtökohtana olisi, että viranomainen saa lakisääteiseen tehtäväänsä perustuen tiedot toiselta viranomaiselta rajapinnan kautta ilman erillistä tietolupapäätöstä. Tällöin lainsäädännössä säädettäisiin lähtökohtaisesti pakolliseksi avoimet rajapinnat sekä niiden määrittely. Rajapintojen avulla tiedon luovutus olisi mahdollista myös muille toimijoille silloin, kun luovutuksen saajalla olisi henkilötietojen suojaa koskevien säännösten mukaan oikeus käsitellä kyseisiä tietoja.162 Lähtökohtaisesti valmisteilla oleva lainsäädäntö luo viranomaiselle yhä vahvemman oikeuden käsitellä lakisääteisen tehtävän hoitamisen perusteella yksilöiden henkilötietoja. Tiedon saatavuutta parannetaan ja yksittäisten rekisterinpitäjien oikeutta määrätä tiedon käytöstä heikennetään.
Lakisääteisen oikeuden nojalla ei yksilön suostumusta tarvita, joten henkilötiedon suostumuspohjainen käsittely viranomaisten toimesta on vähäistä.
Yleisen tietosuoja-asetuksen 20 artiklan mukaisesti rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän itse on toimittanut rekisterinpitäjälle, koneluettavassa muodossa sekä oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle. Julkisella sektorilla viranomaisten tietovarannot muodostuvat tarvelähtöisesti ja viranomainen saa tarvitsemansa henkilötiedot yleensä kolmansilta, tai ne syntyvät viranomaisprosessin seurauksena.
Viranomainen kerää tietoja esimerkiksi hallinnollisen prosessin seurauksena päätöksentekoa varten, erilaisista hakemuksista tai ilmoituksista, perusrekistereistä, tietopalvelurekistereistä tai kehittämis- ja tutkimustoiminnan kautta kerätystä tiedosta.163 Viranomaisen oikeus taas hyödyntää eri rekistereissä olevia henkilötietoja säädetään yleisimmin lailla. Lainsäädännön nojalla viranomaisella on ensisijainen velvoite kerätä tieto toiselta viranomaiselta, ei kansalaiselta itseltään.164 Julkishallinnon henkilötietojen käsittelyn malli ei siten suoraan sovellu omadata-malliin, jossa yksilö itse suostumusperusteisesti oikeuttaa henkilötietojensa käsittelyä eri rekisterinpitäjien osalta. Viranomaiset käsittelevät henkilötietoja muutamia
161 Valtiovarainministeriön julkaisu – 37/2017, s. 14.
162 Ks. Valtiovarainministeriön julkaisu – 37/2017, sivut 14-15 sekä s. 26. Raportissa on selvennetty nykyistä tiedonhallintaa viranomaisten välillä, joka perustuu tietolupapohjaiseen tiedon luovutukseen.
Nykykäytännön mukaan tietoja luovutetaan vain erillisillä tietolupapäätöksillä, ja silloinkin luvan saannin edellytyksenä on voimassa olevan lainsäädännön noudattaminen. Työryhmän mukaan viranomaisen tulisi luottaa toiseen viranomaiseen siten, että erillistä tietolupapäätöstä luovutuksen osalta ei tulisi tehdä. Tällöin riittäisi laista johdettava oikeus tietojen käsittelyyn ja tiedon luovutus avoimen rajapinnan kautta.
163 Ks. lisää viranomaistiedon ryhmittelystä Korhonen 2003, s. 233.
164 Valtiovarainministeriön julkaisu – 37/2017, s. 23.
poikkeuksia lukuun ottamatta lakiperusteisesti, eikä sitä voida omadatamallin mukaisesti muuttaa.
Eräs viranomaiskäsittelyn poikkeuksista on julkisuuslaissa säädelty salassa pidettävien viranomaisten asiakirjojen tiedonsaantioikeus. Julkisuusperiaatteen mukaan viranomaisten asiakirjat ovat julkisia, jollei toisin laissa säädetä. Lain 26 §:ssä säädetään yleisistä perusteista salassa pidettävän tiedon antamiseen. Pykälän 1-kohdan mukaan viranomainen voi antaa salassa pidettävästä viranomaisen asiakirjasta tiedon, jos ”se, jonka etujen suojaamiseksi salassapitovelvollisuus on säädetty, antaa siihen suostumuksensa”.
Yksityisten etujen suojaamiseksi salassapito on säädetty esimerkiksi silloin, kun kyse on terveydentilasta annettavista todistuksista, verotusasiakirjoista tai liikesalaisuuksista.
Henkilö voi antaa suostumuksen vain silloin, kun hän voisi myös itse saada tiedon asiakirjasta.165 Tällainen suostumus voi perustua myös sopimukseen viranomaisen ja yksityisen asianosaisen välillä.166 Kyseinen säännös on ristiriidassa tietosuoja-asetuksen johtolauseen 43 sekä Tilke-raportin kanssa, joiden mukaan viranomaisen käsittelyperuste ei voisi perustua suostumukseen.
Tietosuoja-asetuksen johtolauseessa 43 mainitaan, että olisi epätodennäköistä suostumuksen olevan annettu vapaaehtoisesti ”kaikissa kyseiseen tilanteeseen liittyvissä olosuhteissa”.
Sananmuoto jättää tilaa harkinnalle sen osalta, voisiko olla sellaisia tilanteita viranomaisen ja yksityisen välillä, jolloin myös suostumus voidaan katsoa olevan annettu vapaaehtoisesti.
Käytännössä on haastavaa ilman voimassa olevaa lainsäädäntöä tulkita tilanteita, milloin viranomainen voisi katsoa yksilön antavan suostumuksen vapaaehtoisesti. Julkisuuslain tietojen luovutuksen periaatteet tulevat sovellettavaksi, ellei ole sovellettavaa erityislainsäädäntöä taustalla. Tästä johtuen pääsääntö viranomaisen tietojen käsittelylle tulisi olla lainsäädäntö, jonka pohjalta yksilö voisi antaa suostumuksensa viranomaiselle omadataksi luokitellun henkilötietonsa käsittelyyn. Valmisteilla olevaan tiedonhallintalakiin on tarkoitus koota sääntelyä muun muassa julkisuuslaista, ja siinä yhteydessä on mahdollista tarkastella julkisuuslain 26 §:n suostumusperusteisen käsittelyn edellytyksiä tietosuoja-asetuksen valossa sekä sitä, tulisiko omadataksi luokitellusta tiedosta säätää erikseen myös tilanteista, milloin suostumus voidaan antaa myös julkisen hallinnon toimijalle.167
165 Kulla 2015, s. 457.
166 Mäenpää 2008b, s. 341-342.
167 Tietosuojalainsäädäntö on muuttumassa, ja tutkielman kirjoitushetkellä ei ole selvää lopullisista lainsäädännön suuntaviivoista. Hallituksen esitykseen uudesta tietosuojalaista (9/2018) on koottu tietosuoja-asetusta täydentävää sääntelyä.
Edellä kappaleessa 2.2.2 on mainittu julkisuuslain mukaisesta asianosaisen tiedonsaantioikeudesta. Julkisuuslain mukaisesti jokaisella on oikeus saada tieto hänestä itsestään viranomaisen asiakirjaan sisältyvistä tiedoista 11 §:n 2 ja 3 momentissa säädetyin rajoituksin. Tämä oikeus itsessään velvoittaa viranomaista antamaan tiedon kohteelle häntä koskevat tiedot. Rajoituksena kuitenkin sellaiset laissa säädetyt tiedot, jotka ovat myös yksilöltä itseltään salassa pidettäviä. Vaikka julkisuuslakiin jo nykyään sisältyy omien tietojen hallintaa, ei se kuitenkaan mahdollista omadatan mukaista henkilötietojen hallintaa, jossa viranomainen luovuttaisi tiedot suoraan toiselle rekisterinpitäjälle. Tällöin tietoja ei luovutettaisi JulkL:n 12 §:n mukaisesti rekisteröidylle itselleen, vaan hänen osoittamalleen taholle. Kyseistä pykälää ei tämän vuoksi voida soveltaa suoraan omadata-malliin, sillä lain sananmuoto ei vastaa tiedon luovutuksen tarvetta.
Viime aikoina säädettyihin lainsäädäntöihin on kuitenkin jo sisällytetty viranomaisen henkilötiedon käsittelyä suostumukseen perustuen. Esimerkkinä mainittakoon luvussa 3 käsitelty KOSKI-laki. Lain 29.5 §:n mukaan suostumuksen antava henkilö voi antaa yksilöidyn suostumuksensa rekisterissä tai tietovarannossa olevan tiedon luovuttamiseen viranomaiselle tai muulle taholle. Lain hallituksen esityksessä 72/2017 kyseisen pykälän yksityiskohtaisissa perusteluissa edelleen mainitaan, että henkilön suostumukseen perustuvia luovutuksia ei rajattaisi koskemaan vain viranomaisia. Kyseinen pykälä ei siis vastaa tietosuoja-asetuksen lähtökohtaa siitä, että viranomaisen käsittely ei lähtökohtaisesti perustu suostumukseen. KOSKI-laissa suostumus annetaan lähtökohtaisesti viranomaiselle, mutta luovutuksia ei ole rajattu koskemaan pelkästään viranomaisia, vaan myös yksityiset voivat olla suostumuksen kohteena. Mikäli omien tietojen hallinnasta säädetään myös jatkossa erityislainsäädännössä, vaarana on omien tietojen hallinnan yhä epäyhteneväisempi ja sekava sääntely.
4.3 Suostumukseen liittyvä tarpeellisuusvaatimus
Tilke-raportissa on huomioitu suostumusperusteinen käsittely viranomaistoiminnassa siten, että jatkossa hallinnon asiakkaiden tietoja tulisi työryhmän mukaan luovuttaa kolmannelle osapuolelle myös suostumuksen perusteella, mikäli luovutuksen kohteena olevan henkilötiedon käsittelylle ei ole olemassa muuta laillista perustetta. Tämä linjaus puoltaa vahvasti kansalaisen omien tietojen hallintaa. Raportissa kuitenkin huomautetaan, että viranomaisissa tapahtuvan henkilötietojen käsittelyn oikeusperusta ei voi perustua
suostumukseen.168 Tietojen luovuttaminen viranomaisen tietovarannoista muuhun kuin viranomaistoiminnan käyttötarkoitukseen edellyttää sitä, että suostumuksen antajan vapaaehtoisuus ja muut suostumuksen edellytykset täyttyvät.169
Viranomaisen velvoite luovuttaa henkilötietoja silloin, mikäli sovellettavana ei ole muuta laillista perustetta mahdollistaisi yksilölle enemmän tosiasiallista hallintaa henkilötietojensa käsittelyyn. Huomattava kuitenkin on se, että rekisterinpitäjä ei voi suostumuksenkaan perusteella käsitellä henkilötietoja sellaisiin käyttötarkoituksiin, joille ei todellisuudessa ole tarvetta. Nykyisessä henkilötietolaissa, säädetään 9 §: ssä henkilötietojen käsittelyn tarpeellisuusvaatimuksesta. Tarpeellisuusvaatimuksen mukaan käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia.
Henkilötietolain 9 §: n 1 momentin perusteella rekisteröidyn suostumuksellakaan ei voida kerätä tarpeettomia henkilötietoja, vaan käsiteltävien henkilötietojen on oltava asianmukaisia ja olennaisia eivätkä saa olla liian laajoja käyttötarkoitukseen näden.170 Eduskunnan oikeusasiamies on ratkaisussaan katsonut oppilaitoksen suostumukseen perustuvan terveydentilaa koskevan käsittelyn rikkovan henkilötietolain 9 §: ää:
Kantelija oli kirjoituksessaan pyytänyt oikeusasiamiestä tutkimaan, menettelikö oppilaitos lain mukaan velvoittaessaan hakijoita antamaan terveydentilaansa koskevia tietoja ennen kuin tulevat valituksi. Oppilaitos oli vaatinut hakijoita täyttämään hakemuksen yhteydessä lomakkeen, jossa tiedusteltiin terveydentilaa ja sairaushistoriaa. Kyseisiä tietoja käsiteltiin hakijan antaman suostumuksen perusteella. Lain mukaan opiskelijavalintarekisteriin voidaan tallettaa hakijan ilmoituksen mukaisina ammatinvalintaan vaikuttavat terveystiedot.
Oikeusasiamies totesi lausunnossaan että, vaikka tietojen antaminen on ollut hakijoille vapaaehtoista ja siten suostumukseen perustuvaa, tietojen kerääminen ei täyttänyt lainsäädännössä asetettujen henkilötietojen tarpeellisuusvaatimuksia eikä näin ollen perustunut siltä osin lakiin.171
168 Apulaisoikeuskansleri (AOK) on ottanut kantaa suostumuksen vapaaehtoisuuteen tilanteessa, jossa rekisteröity on alistussuhteessa rekisterinpitäjään nähden. Apulaisoikeuskansleri on todennut, mikäli suostumuksen antamisen kieltäytymisen johdosta olisi seurauksena määräaikaisen työttömyysturvan menettäminen, ei tosiasiallisia edellytyksiä suostumukselle ole olemassa (AOK 947/1/02). Myös Eduskunnan Apulaisoikeusasiamies (AOA) on ottanut kantaa työntekijän ja työnantajan väliseen epätasa-arvoiseen tilanteeseen. Työntekijän suostumusta hankittaessa on kiinnitettävä huomiota tosiasiallisen vapaaehtoisuuden täyttämisen mahdollisuuteen (AOA 2901/2/04).
169 Valtiovarainministeriön julkaisu – 37/2017, s. 24-25.
170 Voutilainen 2012, s. 305.
171 EOAK 1488/1999.
Rekisteröidyn antama suostumus henkilötietojen käsittelyyn ei siten ole muodostanut rekisterinpitäjälle täydellistä vapautta käsitellä henkilötietoja. Rekisterinpitäjän on edellytetty täyttävän henkilötietojen käsittelyn lailliset perusteet, eikä suostumukseen perustuen ole voitu kerätä henkilötietoja ilman tarpeellisuusvaatimuksen täyttymistä.172 Lainsäädännössä on myös nähty tarpeelliseksi joissain tilanteissa todeta erikseen, ettei suostumuksella voida poiketa lain säädöksistä.173
Rekisterinpitäjä ei myöskään voi käsitellä henkilötietoja suostumuksen perusteella perustaen käsittelyä sopimusoikeudellisiin perusteisiin.174 Sopimuksen teon yhteydessä suostumuksella kerättävät henkilötiedot tulee olla tarpeen kyseisen sopimuksen osalta.
Yleisen tietosuoja-asetuksen 7 artiklan 4-kohta säätelee suostumuksen vapaaehtoisuutta:
”Arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.”
Euroopan unionin Tietosuojatyöryhmä175 on antanut uuden suostumukseen perustuvan lausunnon perustuen tietosuoja-asetukseen. Tietosuojatyöryhmän mukaan ei ole asetuksen suostumusperusteisen käsittelyn mukaista niputtaa suostumus rekisteröidyn hyväksyessä ehtoja sellaisen henkilötietojen käsittelemistä koskevaan pyyntöön, joka ei ole välttämätöntä kyseisen sopimuksen tai palvelun suorittamiseksi. Mikäli tällaisessa tilanteessa annetaan suostumus henkilötietojen käsittelyyn, suostumuksen ei katsota olevan vapaaehtoisesti annettu. Tällaisella sääntelyllä tietosuoja-asetus varmistaa, että sopimuksen osalta suostumukseen perustuva henkilötietojen käsittely ei voi suoraan tai epäsuoraan johtaa sopimuksen vastaisiin toimiin. Tietojen käsittelyn ja sopimuksen toteuttamisen tarkoituksen välillä on oltava suora ja objektiivinen yhteys.176
172 Voutilainen 2012, s. 245.
173 Esimerkiksi lain yksityisyyden suojasta työelämässä (759/2004) 3 §:n mukaan työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät muun muassa työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen. Edelleen säädetään, ettei työnantaja voi poiketa tarpeellisuusvaatimuksesta työntekijän suostumuksella.
174 Data Protection Working Party: WP 187, Opinion 15/2011 on Consent, 13.7.2011, s. 9.
175 Tietosuojatyöryhmä eli WP29 on tietosuojadirektiivin 29 artiklassa asetettu tietosuojatyöryhmä, joka on riippumaton, neuvoa-antava elin tietosuojaa koskevissa asioissa. WP29 koostuu jäsenvaltioiden tietosuojaviranomaisista, Euroopan tietosuojavaltuutetusta sekä komission edustajista. WP29 on antanut useita soveltamisohjeita tietosuoja-asetukseen liittyen.
176 Article 29 data protection working party: WP259, Guidelines on Consent under Regulation 2016/679, s.9.
Yleisin omadata-ajattelua kohtaan esitetty kritiikki on se, että mahdollistettaessa yksilölle oikeus hallita suostumuksella omia henkilötietojaan, kiihdyttäisi se suuntausta, jossa ihmisiltä vaaditaan entistä enemmän henkilötietoa. Esimerkiksi tulevaisuuden skenaarioista on pohdittu, voisiko jatkossa kohtuuhintaista vakuutusta ottaessa annettava ensin kattava ja rikas profiilidata vakuutusyhtiölle.177 Tällöin omadata-malli voisi kääntyä yksilöä itseään vastaan sen osalta, olisiko tällaisissa tilanteissa tosiasiallinen mahdollisuus vaikuttaa luovuttamaansa henkilötietoon. Tietosuoja-asetuksen 7 artiklan 4-kohdan tarpeellisuusvaatimus näyttäisi kumoavan esitetyn kritiikin rekisterinpitäjän loputtamasta henkilötietojen keräämisestä suostumukseen perustuvan henkilötiedon osalta. Koska tietosuoja-asetuksessa ei katsota suostumuksen olevan vapaaehtoisesti annettu silloin, kun kerätyt henkilötiedot eivät ole tarpeen kyseisen sopimuksen täytäntöönpanemiseksi, ei esimerkiksi vakuutuksenantaja voisi kerätä tarpeettomia henkilötietoja tarjotakseen kohtuuhintaista vakuutusta. Toisaalta taas on perusteltua tarkastella sitä, voidaanko lailla
Yleisin omadata-ajattelua kohtaan esitetty kritiikki on se, että mahdollistettaessa yksilölle oikeus hallita suostumuksella omia henkilötietojaan, kiihdyttäisi se suuntausta, jossa ihmisiltä vaaditaan entistä enemmän henkilötietoa. Esimerkiksi tulevaisuuden skenaarioista on pohdittu, voisiko jatkossa kohtuuhintaista vakuutusta ottaessa annettava ensin kattava ja rikas profiilidata vakuutusyhtiölle.177 Tällöin omadata-malli voisi kääntyä yksilöä itseään vastaan sen osalta, olisiko tällaisissa tilanteissa tosiasiallinen mahdollisuus vaikuttaa luovuttamaansa henkilötietoon. Tietosuoja-asetuksen 7 artiklan 4-kohdan tarpeellisuusvaatimus näyttäisi kumoavan esitetyn kritiikin rekisterinpitäjän loputtamasta henkilötietojen keräämisestä suostumukseen perustuvan henkilötiedon osalta. Koska tietosuoja-asetuksessa ei katsota suostumuksen olevan vapaaehtoisesti annettu silloin, kun kerätyt henkilötiedot eivät ole tarpeen kyseisen sopimuksen täytäntöönpanemiseksi, ei esimerkiksi vakuutuksenantaja voisi kerätä tarpeettomia henkilötietoja tarjotakseen kohtuuhintaista vakuutusta. Toisaalta taas on perusteltua tarkastella sitä, voidaanko lailla